Ochrona danych osobowych i RODO

Ochrona danych osobowych i RODO w jednoosobowej działalności gospodarczej

Każdy przedsiębiorca, który dysponuje danymi swoich klientów i kontrahentów, oraz każdy pracodawca, który przechowuje akta pracowników, musi zadbać o ochronę tych informacji przed dostępem do nich osób nieupoważnionych, atakże ich wyciekiem, znieszczeniem lub niewłaściwym przetwarzaniem. Co to oznacza w praktyce? Wyjaśniamy w najnowszym artykule.

Z artykułu dowiesz się między innymi:
✔ czym jest RODO;
✔ na co w kontekście RODO zwrócić uwagę przy podpisywaniu umów z pracownikami;
✔ jakie dokumenty musi przygotować przedsiębiorca w kontekście RODO.

RODO obowiązuje wszystkich przedsiębiorców prowadzących swoją działalność gospodarczą na terenie Unii Europejskiej. Nie ma przy tym znaczenia, czy jest to jednoosobowa działalność gospodarcza czy firma zatrudniająca wiele osób.

Każdy przedsiębiorca jest zobligowany do przystosowania swojego przedsiębiorstwa do nowych wymogów prawnych. Aby określić stopień, w jakim odcisną one piętno na firmie, musi najpierw przeprowadzić analizę i ocenę ryzyka przetwarzania i pozyskiwania danych osobowych.

RODO zapewnia ochronę danych osobowych niezależnie od rodzaju technologii, której użyto do przetwarzania danych. Ma zastosowanie zarówno do ręcznego, jak również do zautomatyzowanego przetwarzania. Nie ma także znaczenia to, w jaki sposób dane te są przechowywane (w systemie IT, nadzoru wideo czy formie papierowej).

Czym jest RODO?

RODO jest unijnym aktem prawnym, zestawem przepisów, które dostarczają informacji przedsiębiorcom i konsumentom odnośnie tego, do czego mają prawo w zakresie prywatnych informacji i w jaki sposób należy się z nimi obchodzić.

Mimo wymienionego wyżej “udogodnienia”, RODO wymienia szereg obowiązków, których przestrzeganie jest obowiązkowe. Najważniejsze z nich to:
• obowiązek powołania Inspektora Danych Osobowych w firmach, w których przetwarzanie danych stanowi podstawę działalności;
• obowiązek poinformowania w ciągu 72 godzin o wycieku danych osoby, której on dotyczy, a także o odkrytym naruszeniu, jeśli zdarzenie to mogło skutkować trafieniem prywatnych informacji w niepowołane ręce;
• obowiązek prowadzenia rejestru, obejmującego rodzaj przetwarzanych danych, cel i sposób ich przetwarzania oraz informację o osobie odpowiedzialnej za przetwarzanie danych.

Rozporządzenie daje dodatkowo osobom fizycznym realne uprawnienia do kontrolowania swoich danych osobowych, z których najważniejsze to:
prawo do dostępu do danych osobowych, polegające na tym, że każdy konsument ma prawo do udzielenie przez przedsiębiorcę szczegółowych informacji dotyczących posiadanych danych oraz sposobu ich przetwarzania;
prawo do przenoszenia danych, zgodnie z którym każdym konsument może zażądać przeniesienia swoich danych osobowych do innego podmiotu przetwarzającego;
prawo do poprawienia danych osobowych, oznaczające, że każdy ma prawo do wprowadzenia korekt do zebranych przez przedsiębiorstwo danych, które go dotyczą;
prawo do bycia zapomnianym, czyli najdalej idące uprawnienie, które polega na całkowitym usunięciu zebranych informacji o konkretnej osobie.

RODO a jednoosobowa działalność gospodarcza

Rozporządzenie o ochronie danych osobowych dotyczy każdego przedsiębiorcy, który prowadzi jednoosobową działalność gospodarczą, bez względu na to, czym się zajmuje i czy zatrudnia pracowników.

Przepisy RODO wymuszają na przedsiębiorcy przeprowadzenie analizy i oceny ryzyka przetwarzania i pozyskiwania danych osobowych. Taki audyt pozwoli określić:
• jakie dane osobowe przetwarza;
• w jakich celach je przetwarza;
• podstawę prawną, w oparciu o którą te dane przetwarza;
• rolę, w jakiej występuje;
• ryzyko przetwarzania danych i poziom zabezpieczeń niezbędny dla prawidłowej ochrony danych.

Gdy przedsiębiorca określi swoją rolę, będzie wiedział jaki typ umów ma podpisywać z dostawcami różnych usług, na przykład z firmą kurierską:
• umowę przekazania - pomiędzy administratorami danych;
• umowę powierzenia - pomiędzy administratorem a podmiotem przetwarzającym dane;
• umowę podpowierzenia - pomiędzy podmiotami przetwarzającymi dane.

RODO oddziałuje na przedsiębiorców prowadzących jednoosobowe firmy w dwójnasób. Z jednej strony nakłada na nich obowiązek ochrony danych osobowych kontrahentów, a z drugiej - roztacza swego rodzaju parasol ochronny na równi z konsumentami.

Co do zasady, w firmie jednoosobowej (oraz mikroprzedsiębiorstwach to przedsiębiorca staje się administratorem danych. Musi zatem zastanowić się, w jakich obszarach działalności przedsiębiorstwa przetwarzane są dane osobowe osób fizycznych. Następnie musi znaleźć rozwiązanie, dzięki któremu dane te będą wykorzystywane tak, aby były chronione w jak największym stopniu.

Na pewno będzie to miało miejsce przy wystawianiu faktur lub rachunków dla osób fizycznych i osób prowadzących działalność gospodarczą.

Do takich sytuacji z pewnością zaliczymy także korzystanie z takich narzędzi jak newsletter czy masowa korespondencja. Pod przepisy RODO podlega również korespondencja, w której korzysta się wyłącznie z adresów mailowych, ale takich, które w jakikolwiek sposób można powiązać z konkretnymi osobami. Nie ma też znaczenia, czy są to adresy klientów, kontrahentów, pracowników czy osób współpracujących z przedsiębiorcą, na przykład księgowego.

RODO nakład dodatkowe obostrzenia na administratorów danych, którzy w ramach współpracy z innymi podmiotami przekazują posiadane bazy danych osobowych. Mogą to być na przykład:
• biuro księgowego, posiadające faktury przedsiębiorcy;
• firma kurierska, która ma wgląd do danych adresatów nadawanych przesyłek;
• programista lub moderator strony internetowej firmy, który ma dostęp do kont użytkowników czy do bazy newslettera.

W takiej sytuacji przedsiębiorca musi:
• zawrzeć z takimi podmiotami umowę o przetwarzaniu danych osobowych;
• prowadzić ewidencję osób upoważnionych do przetwarzania zebranych przez niego danych klientów.

Zatrudnianie pracowników a RODO

Proces wdrażania RODO w przedsiębiorstwie jest nieco bardziej skomplikowany, jeśli przedsiębiorca zatrudnia pracowników. W poniższej tabeli przedstawiamy powinności oraz obowiązki, jakie stoją przed nim w tym temacie:

Przedsiębiorca powinien Przedsiębiorca musi
przeprowadzić “szkolenie” dla pracowników, podczas którego przekaże im wszelkie niezbędne informacje dotyczące ochrony danych osobowych poinformować pracowników o sposobie administrowania baz danych osobowych
uzyskać od pracowników dobrowolne zgody na przetwarzanie ich danych osobowych  
poinformować pracowników o sposobie przetwarzania tych danych oraz o przysługujących im prawach  

Zgoda RODO jest niezbędna podczas zawiązywania i trwania stosunku pracy, ze względu na różne dane, które muszą być przetwarzane w okresie zatrudnienia.

Pracodawca może żądać od zatrudnionego pracownika, oprócz podstawowych danych osobowych, także informacji dodatkowych, których nie można żądać od kandydata do zatrudnienia, na przykład numeru konta.

Dane te muszą być jednak zbierane w konkretnych, wyraźnych oraz prawnie uzasadnionych celach, o czym pracownik musi być poinformowany przed wyrażeniem zgody. Musi zatem znać cel i zakres przetwarzania jego danych osobowych. Dzięki temu może dobrowolnie taką zgodę wyrazić.

Dokumenty wymagane przez przepisy RODO

Przepisy RODO co prawda wskazują potrzebne ewidencje, regulaminy czy klauzule, ale nie zawierają wytycznych, według których należy je sporządzać oraz prowadzić. To zatem administrator danych musi zadecydować, jak prowadzić politykę prywatności w przedsiębiorstwie oraz w jakim stopniu zabezpieczać bazy danych swoich kontrahentów i klientów.

Mimo wspomnianej powyżej dowolności w wyborze sposobu prowadzenia polityki prywatności w firmie, przepisy RODO wprowadziły jedną, bardzo ważną zasadę, którą respektować muszą wszyscy przedsiębiorcy.

Dokumentacja, w tym regulaminy, ewidencje i zbiory informacji, musi być sporządzona w zrozumiałym i prostym języku, tak, aby każda osoba mogła się z nią zapoznać i w całości zrozumieć.

Co prawda rodzaj i sposób ochrony danych zależy przede wszystkim od specyfiki branży, charakteru firmy i jej wielkości, ale można mimo to wskazać dokumentację, którą powinien posiadać każdy przedsiębiorca:
• polityka bezpieczeństwa danych osobowych;
• polityka kluczy;
• dokument inwentaryzacji zasobów informacyjnych;
• dokument ewidencji zawartych umów powierzenia przetwarzania danych osobowych;
• dokument rejestru czynności przetwarzania;
• wykaz obszaru przetwarzania;
• wykaz przetwarzanych zbiorów danych osobowych;
• protokół szacowania ryzyka dla dokumentów tradycyjnych i elektronicznych;
• dokumentacja klauzul informacyjnych;
• dokumentacja podstawowych zasad zabezpieczania danych i zgłaszania naruszeń;
• dokument opisujący procedurę naruszenia przetwarzanych danych osobowych.

Podsumowanie

Wprowadzenie w małej firmie odpowiednich zasad dotyczących RODO nie powinno być szczególnie skomplikowane. Dlatego też warto nie zwlekać z tym na ostatnią chwilę. Pozwoli to uchronić firmę przed bardzo wysokimi karami finansowymi, sięgającymi nawet kwoty 4% obrotu rocznego firmy lub 20 milionów euro.

Źródło grafiki: https://unsplash.com/photos/uw_NWjC1mBE

Poradnik o pisaniu biznesplanu

Poradniki ALEO.com - ikona
Zespół ALEO.com przygotował kolejny poradnik, w którym tym razem skupiliśmy się na wszystkich aspektach zakładania własnej firmy. Poruszamy w nim takie kwestie jak:
• wybór formy prowadzenia działalności gospodarczej oraz najważniejsze cechy każdej z nich;
• aspekty prawne funkcjonowania firmy, takie jak kwestie podatkowe czy zatrudnianie pracowników;
• kwestie zmian w polskim systemie podatkowym, wprowadzone przez tak zwany "Polski Ład".

E-book dostępny jest dla wszystkich użytkowników naszego serwisu.
Wszystkie nasze artykuły blogowe wyjaśniające wątpliwości związane z zakładaniem własnej firmy znajdziecie na naszym blogu, w zakładce Założenie firmy.

Poprzednie e-booki wciąż są dostępne w części contentowej ALEO.com, w sekcji Poradniki.

Czytaj także

Ile kosztuje założenie firmy?

Ile kosztuje założenie firmy?

Z roku na rok coraz więcej osób decyduje się na założenie własnej działalności gospodarczej. Zalet tego rozwiązania jest wiele, niezależnie od tego, jaką formę prawną...

Jak założyć jednoosobową działalność gospodarczą?

Jak założyć jednoosobową działalność gospodarczą?

Jednoosobowa działalność gospodarcza jest coraz bardziej popularną formą biznesową w Polsce. Według badania “Index Przedsiębiorczości Tax Care 2019” każdego dnia powstaje ok. 916 tego rodzaju firm. Jakie kroki trzeba podjąć, aby otworzyć jednoosobową firmę?

Jakie prawa i obowiązki ma pracodawca?

Jakie prawa i obowiązki ma pracodawca?

Najczęściej mówi się o tym, jakie prawa ma pracownik. A jakie obowiązki powinien spełniać pracodawca i jakich przepisów przestrzegać? Co z prawami pracodawcy? Czy jest to takie oczywiste? Przeczytaj nasz artykuł, by rozwiać swoje wątpliwości.

Jakie prawa i obowiązki ma pracownik?

Jakie prawa i obowiązki ma pracownik?

Każda osoba pracująca na etacie ma swoje prawa i obowiązki, w tym wykonywanie pracy sumiennie oraz stosowanie się do poleceń przełożonego. Wszystkie czynności muszą być zgodne z umową o pracę i Kodeksem pracy. Jak Kodeks reguluje prawa i obowiązki pracownika? Przeczytaj nasz artykuł by dowiedzieć się więcej.